Перейти к основному содержимому
Версия: 4.0

Подзапросы

Oбщее описание

Подзапросы представляют собой механизм, позволяющий выполнять вложенные запросы в рамках одного основного поискового запроса. Это позволяет пользователям создавать более сложные запросы, комбинируя результаты одного запроса с другими запросами или дополнительными условиями.

Преимущество использования

  1. Улучшенная гибкость запросов: Подзапросы позволяют пользователям создавать более сложные и гибкие запросы, включая условия и фильтры, основанные на результатах других запросов.
  2. Эффективное использование ресурсов: Подзапросы позволяют избежать повторного выполнения одних и тех же операций на больших объемах данных, что повышает эффективность и оптимизирует использование ресурсов.
  3. Более точные аналитические результаты: Подзапросы помогают пользователям сформулировать запросы таким образом, чтобы получить более точные и конкретные результаты аналитики данных.
  4. Расширенные возможности анализа: Используя подзапросы, аналитики могут производить более глубокий анализ данных, включая исследование связей и зависимостей между различными аспектами данных.

Как работают подзапросы

Подзапросы в Smart Monitor работают следующим образом: сначала Подзапрос ищет определённую информацию, которая затем добавляется в основной поиск в качестве критерия или аргумента. Основная причина использования подзапросов заключается в том, что информация, которую вы ищете, является динамической и может изменяться с каждым запуском запроса.

Для наглядности рассмотрим пример: предположим, вам нужно вернуть все события от наиболее активного узла за последний час. Такой наиболее активный узел может меняться каждый час. Поэтому сначала вам нужно определить этот узел, а затем выполнить поиск событий от него.

Итак, запрос разбивается на две части:

  • Нахождение наиболее активного узла за последний час - это подзапрос.
  • Поиск событий от найденного узла - это основной поиск.

Временные диапазоны и подзапросы

Временные диапазоны, выбранные в средстве выбора временного диапазона, применяются к базовому поиску и подзапросам.

Однако временные диапазоны, указанные непосредственно в базовом поиске, не применяются к подзапросамам. Аналогично, временной диапазон, указанный непосредственно в подзапросу, применяется только к этому подзапросу. Временной диапазон не применяется к базовому поиску или любому другому подзапросу.

Например, если для средства выбора временного диапазона установлено значение «Последние 7 дней» , а подзапрос содержит earliest=-2d, то модификатор самого раннего времени применяется только к подзапросу, а « Последние 7 дней» — к базовому поиску.